とみます(@20tomimasu)です。
discordのメンバーが教えてくれました。
thirdwebの脆弱性が指摘されているようで。
私も、スコ猫ちゃんNFTとして、thirdwebの独自コントラクトを使用していました。
内容を確認していきます。
thirdwebの脆弱性について
↑23年12月5日に、thirdwebの脆弱性について公開されており。
ざっくり、内容をメモしておくと、
- オープンソースライブラリに、セキュリティの脆弱性が発見された。
- 今のところ、悪用はされていない。
- 脆弱性のある対象は、2023年11月22日以前に、thirdwebで作ったスマートコントラクト。
- 脆弱性の有無を確認するためのサイトを用意した。(meatmask認証にて。)
- ただし、ステーキング機能などで、NFTなどをロックしている場合は、事前にアンロックしてからね。
- 詐欺サイトが流行するであろうから、URLを入念に確認すること。
- バグ報奨金は、25000~50000ドルに倍増。
とのこと。
おほー、
まあ、間違いなく、対象者やね。w
ということで、
Mitigationサイト? で確認してみた。
Contract Mitigation Tutorial (コントラクト救済方法)
公式ブログに、対処方法が書かれている。
>>Contract Mitigation Tutorial
早速、そのサイトの手順に従って、
にアクセスすると。
↑必ず、URLを自分で確認しよう。
もっと言うと、公式ブログのリンクから行った方が安全だ。
対象となるスマコンのwalletにて、
メタマスク認証を済ますと…
はい、
- vulnerability (脆弱)
が表示され。w
案の定、対象だね。
右には、Lockと表示されており。
チュートリアル②に相当するパターンかな?
ロックして、新たにNFTを用意しろというもの…
まあ、けっこう酷いね。
NFTをゼロから再配布するとか…
本格派プロジェクトには相当な労力になりそうだ。
とりあえず、Lockを選択すると↓
おぉー、手順が表示され。
- ステップ1:この契約をロックします。
- ステップ2: 既存のトークン保有者をスナップショットします。
- ステップ3: スナップショットが設定された新しいDropERC1155Mコントラクトをデプロイします。
- ステップ4: トークン保有者がトークンを要求するためのパスを作成します。
なんだ、そのままデプロイできるのか。
ただ、量が多いと、ガス料金が高くなりそうだな…
とりあえず、ロック!
この認証は1回なので、格安、Matic!
↑次に、スナップショット‼
これは、無料でダウンロードできる。
中身は、各作品に対する、オーナーアドレスや数量など。
うー、見づらい…自分でオーナーベースで整理する必要がありそうだ。
次いで、1155Mでデプロイ‼
新しいスマコンが誕生したっぽい。(ここも1トランザクションで、格安MATIC!)
最後に…
↑エアドロする方法が2つあり。
- 1つ目は、私負担で、再配布。最低でも2.4MTAICだと!?
- 2つ目は、URLから、各保有者から申請してもらうというもの。(その場合、ガス料金は、保有者負担。)
100作品以上あって、2.4Maticで済むのか、思ったよりも安いじゃん。
このBackendwalletに送金すれば良いのかな? …送ると金額が反映されたので、合っているっぽい。
Start Airdropを選択できるようになったので、そのまま進めると…
再配布完了されたっぽく↓
↑ちなみに、送り過ぎたMATICは、返金させることも可能。
thirdwebの対応が神すぎやしないかい。逆にこの一件で惚れ直したわ。
ということで、救済完了‼
↑Doneと表示され。
あとは、エアドロが配布されているか、確認すればOKそうね。
他のスマコンもやっておこ。
うげ、イーサ高すぎ!とりあえず、Lockだけで良いかな…
おわりに
以上「thirdwebに脆弱性、スマコンのロック・救済・アプデ方法」でした。
思ったよりも、簡単でした。
thirdwebのUIとマニュアルが素晴らしい…!
新技術にバグは付きものなので、随時、アプデしていかないとですね。
お疲れ様でした、それでは、また。